Skype a corectat o vulnerabilitate care le-a permis atacatorilor să preia controlul asupra unui computer prin mesagerie rău intenționată – dar a așteptat săptămâni înainte de a spune utilizatorilor că remedierea este disponibilă.
Vulnerabilitatea a fost descoperită pentru prima dată întâmplător de cercetătorul australian de securitate Gordon Maddern de la Pure Hacking, care a dat peste slăbiciunea în timpul utilizării de rutină a Skype.
„Conversam pe Skype cu un coleg despre o sarcină utilă pentru unul dintre clienții noștri – și complet accidental, sarcina mea utilă a fost executată în clientul Skype al colegului meu”, a scris Maddern într-un postare pe blog.
Pe scurt și lung, un atacator trebuie doar să trimită un mesaj victimei și poate obține controlul de la distanță al Mac-ului victimei.
„Am descoperit că clienții Windows și Linux nu erau vulnerabili și mi-am dat seama ce este necesar pentru a executa codul. Așa că am pus împreună o dovadă a conceptului folosind metasploit și meterpreter ca sarcină utilă – și am putut obține de la distanță un shell”, a spus el.
„Lungul și scurtul este că un atacator trebuie doar să trimită un mesaj victimei și poate obține controlul de la distanță al Mac-ului victimei. Este extrem de periculoasă și periculoasă.”
Pure Hacking a spus că nu va publica mai multe detalii despre defecțiune până când o remediere nu va fi disponibilă, criticând Skype că a durat o lună pentru a lansa un patch.
Cu toate acestea, Skype a spus că a emis un patch manual luna trecută, dar nu l-a făcut publică deoarece firma VoIP nu a văzut exploatări pe scară largă ale vulnerabilității, a spus Adrian Asher pe Blog Skype.
„Deoarece nu au existat rapoarte despre exploatarea acestei vulnerabilități în sălbăticie, nu am solicitat utilizatorilor noștri pentru a instala această actualizare, deoarece există o altă actualizare în curs de dezvoltare care va fi trimisă la începutul viitorului săptămână."
The patch-ul este disponibil aici între timp.
